モバイルは今：SSHによるポート転送

全文

(1)COLUMN. モバイルは今 SSH によるポート転送楯岡孝道. 電気通信大学 [email protected]. 勤怠管理や施設予約などの事務的なやりとりを，イン. を指定し，クライアント（ssh client）ローカルの X 番ポ. トラネット上の Web アプリケーションによって提供す. ートへの接続を，サーバ（ssh server）からホスト target. るケースが増えている．こういったサービスを外出先か. の Y 番ポートへの接続として転送した場合，その接続は. らインターネット経由で利用したいことはないだろうか．. 図 -1 のようになる．SSH 自体の接続を確立した時点で. インターネットを経由して離れたオフィスを接続する. （a）のようにクライアント（ssh）とサーバ（sshd）の両プ. ために一般的なのは VPN（Virtual Private Network）だろ. ロセス間の仮想回線が確立される．この仮想回線の通信. う．外出先のノートパソコンを 1 つのリモートオフィ. 内容は暗号化され，通常のログイン操作などもこの回線. スと考え，本来のオフィスとノートパソコンの間に VPN. を通じて行われる．さらに SSH クライアント（ssh）はロ. を構成することで，あたかもオフィスのネットワークに. ーカル TCP ポート X 番を，ローカルホスト内アプリケー. 直接接続しているかのようにイントラネットのサービス. ションからの接続が受けられる状態にする．. を利用することができる．. ここで，アプリケーションがクライアントのローカル. しかし VPN の設定は，オフィス，ノートパソコン両. TCP ポート X 番に接続する（b）と，ssh は仮想回線中を. 端に管理者権限での設定が必要な上，仮想的とはいえノ. 通じてこの情報を sshd に送る．これを受けた sshd は新. ートパソコンをオフィスの内側に接続するという性格上，. たにホスト target ，Y 番ポート宛に接続し（d），これを. 慎重に設定，運用する必要がある．たとえば，オフィス. 元の接続（b）と結びつける．これによってアプリケー. のネットワークがインターネットからはファイヤウォー. ションがローカル宛に行った通信は，SSH 仮想回線（c）. ルで守られていても，VPN 接続するノートパソコンがウ. と sshd から target への TCP 接続（d）を通じて転送され，. イルスに感染すると，ファイヤウォールを通過してオフ. あたかもアプリケーションは Y のポートに直接接続して. ィス内の計算機に感染を広げてしまう可能性がある．. いるかのように動作することができる．. 今回紹介する SSH（Secure SHell）のポート転送機能は. また，ホスト target にとっては（d）の接続はホスト. このような場合に簡便な解となり得る．なお，実行例は. ssh server からの接続となる．したがって，ssh server が. すべて OpenSSH 実装（http://www.openssh.org/）のもの. イントラネット内にあれば，ssh client の接続位置によら. を示したが，他の多くの SSH 実装でも同様に利用可能で. ず，イントラネットからの接続だと判断される．. ある．. この転送は同時に何本でも行えるので，イントラネッ ●. ト内の Web サーバに並列アクセスをするような使い方. SSH は本来遠隔ホストにログインするためのアプリケ. も可能である．また，オプションの指定によって逆にサ. ーションだが，その機能の 1 つに TCP ポート転送機能が. ーバ側の TCP ポートへの接続を転送することもできる．. ある．ポート転送機能は，SSH のクライアント上で指. なお，ローカル TCP ポートには通常ループバックと呼ば. 定したローカル TCP ポートへの接続を，SSH のコネ. れる当該ホスト以外からは接続できない IP アドレスを用. クションを経由して，サーバからの特定ホスト／. いるため，他のホストからの接続を転送してしまうこと. ポート宛の接続として転送する機能である．. はない．. たとえば，SSH のオプションとして -L X:target:Y. 1288. 下記のコマンド例では，クライアント上から http://. 44 巻 12 号情報処理 2003 年 12 月. −1−.

(2) �� . �� . �� . �� . �� . ��. ��. ��. �� . ��ポート. �� . �. ��. ��. ローカル��ポート. ��ポート. ��ポート. 図 -1 ポート転送の例. �� . ��. ��. ��. ��. ��. ��. ��. ��. ��. ��. ��. ��. �� . ��. 図 -2 多段階のポート転送. localhost:8080/ にアクセスすることで，server を経由して，. れるため，インターネットを経由した場合の安全性も高. http://www:80/ にアクセスすることができる．. い．. % ssh -L 8080:www:80 server. 今回は HTTP で利用される 80 番ポートを例にしたが，. また，上記の原理が分かっていれば，各ホスト上でポー. まったく同様にして SMTP（25 番），POP3（110 番）な. ト転送を繰り返し，直接接続できないサーバへの転送も実. どの転送も可能である．10 月号で紹介したように，. 現できる．下記のコマンド例では Web アクセスを図 -2 の. SMTP や POP3 の通信をポート転送することで，本来オ. ように 3 段中継して実現している．先の例同様に http://. フィス内からのみ利用可能なメールサーバをインターネ. localhost:8080/ にアクセスすることで，最終的にホスト. ットを通じて利用することもできる．この場合，SMTP. www の 80 番ポートヘ接続できる．なお，% の左側はど. サーバはオフィス内から接続されたと見なすため，メー. このホストで実行するコマンドかを表している．. ルの受信者にはメールの送信者がどこにいたか判別. client% ssh -L 8080:localhost:8081 relay1. できないという利点もある．また，7 月号で紹介. relay1% ssh -L 8081:localhost:8082 relay2. した VNC は通信内容を暗号化しないが，SSH のポ. relay2% ssh -L 8082:www:80 relay3. ート転送を用いることで，それを暗号化すること. 上記の例は UNIX 系 OS 上で動作確認を行ったが，. ができる．. Windows 等でもコマンドライン版の SSH をインストール. もちろん，本来のアクセス制御範囲を超えてアクセス. すれば実行可能である．また，PortForwarder（http://. することになるため，慎重な運用が必要なのは言うまで. www.fuji-climb.org/pf/JP/）のように，このポート転送に特. もない．たとえば，ローカル TCP ポートは当該ホストか. 化した GUI アプリケーションも開発されている．このよう. らしかアクセスできないが，逆に言えばホスト上からな. なアプリケーションを利用すれば，より手軽にポート転送. ら誰でもアクセスできるため，信頼できない共用ホスト. を利用することができる．. で利用するのは危険である． ●. それを差し引いても，SSH でログインできる環境さえ. SSH のポート転送機能は，任意の TCP ポートへの接続を. あれば，管理権限のない利用者であっても，さまざまな. 転送できるため，非常に汎用性がある．SSH によるログイ. TCP サービスに利用できるため，応用範囲は広い．一度. ンが可能ならば，ほとんどすべての TCP サービスを中継可. 試してみてはいかがだろうか．. 能と言えるだろう．また，仮想回線の通信内容は暗号化さ. （平成 15 年 10 月 30 日受付）. IPSJ Magazine Vol.44 No.12 Dec. 2003. −2−. 1289.

(3)